P. 1
Xay Dung He Thong an Toan Mang Doanh Nghiep

Xay Dung He Thong an Toan Mang Doanh Nghiep

|Views: 10|Likes:
Được xuất bản bởiXuân Thắng

More info:

Published by: Xuân Thắng on Aug 26, 2013
Bản quyền:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

02/24/2015

pdf

text

original

XÂY DỰNG HỆ THỐNG AN TOÀN MẠNG DOANH NGHIỆP

PHẦN I: XÂY DỰNG PROXY VÀ FIREWALL VỚI ISA SERVER ........................... 2 BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG ........................................................... 2 1.1. 1.2. 1.3. 2.1. 2.2 3.1. 3.2 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 4.1. 4.2. 4.3. Khái niệm bảo mật ..................................................................................... 2 Các hình thức tấn công trên mạng ............................................................... 2 Phương pháp chung ngăn chặn các kiểu tấn công ......................................... 4 Giới thiệu ................................................................................................... 7 Cài đặt ISA 2004. ....................................................................................... 7 Giới thiệu ................................................................................................. 14 Cho phép các máy client truy cập đầy đủ vào ISA Server ............................ 15 Cho phép các máy nội bộ truy cập tất cả dịch vụ trên External. .................... 19 Cho phép Local Host truy cập Internet. ...................................................... 21 Cho phép ISA Server cấp IP động cho các Client ......................................... 22 Cho phép các Client và Local host truy vấn DNS .......................................... 23 Cho phép các client truy xuất mail chuyên dụng (SMTP, POP3 hoặc IMAP) .... 25 Quản lý và giám sát truy cập Internet trong ISA 2004. ................................ 26 Giới thiệu:................................................................................................ 36 Web Server Publishing. ............................................................................. 36 Mail Server Publishing. .............................................................................. 43

BÀI 5: TIẾT KIỆM BĂNG THÔNG INTERNET VỚI TÍNH NĂNG “CACHE” VÀ “CONTENT DOWNLOAD JOB” ................................................................. 51 5.1. 5.2. Cache và hoạt động của Cache .................................................................. 51 Cấu hình Content Download Job ................................................................ 59

BÀI 6: CẤU HÌNH “PROXY SERVER” CHO ISA SERVER .................................. 62 6.1. 6.2. Cấu hình:................................................................................................. 62 Sử dụng “ISA Firewall Client” để tự động cấu hình Proxy ............................. 63

BÀI 7: SAO LƯU VÀ PHỤC HỒI THÔNG TIN CẤU HÌNH ISA SERVER .............. 68 7.1. 7.2. Sao lưu .................................................................................................... 68 Phục hồi .................................................................................................. 69

PHẦN II: TRIỂN KHAI MULTI VPN ................................................................. 71

PHẦN I: XÂY DỰNG PROXY VÀ FIREWALL VỚI ISA SERVER BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG
Mục tiêu:

¾ ¾ ¾

Hiểu biết tầm quan trọng của bảo mật mạng trong doanh nghiệp Hiểu biết tài sản doanh nghiệp và những thành phần liên quan đến bảo mật Nắm bắt được các phương thức tấn công trên mạng và cách phòng chống

1.1.

Khái niệm bảo mật

Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin. Triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, etc..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những phương thức tấn công vào hệ thống mạng của chúng ta. Ai tạo ra bức tường lửa đủ mạnh này để có thể chống đở mọi ý đồ xâm nhập vào hệ thống? trước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi nhân viên trong một tổ chức, sự am hiểu tinh tường của các Security Admin trong tổ chức đó, và cuối cùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này. Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước. Nhưng tựu trung lại gồm ba hướng chính sau: • • • 1.2. Bảo đảm an toàn cho phía server Bảo đảm an toàn cho phía client Bảo mật thông tin trên đường truyền Các hình thức tấn công trên mạng ¾ Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong.

Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương pháp tấn công cổ đIển là dò tìm cặp tên người sử dụng và mật khẩu thông qua việc sử dụng một số thông tin đã biết về người sử dụng để dò tìm mật khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker cũng có thể sử dụng một chương trình tự động hoá cho việc dò tìm này. Chương trình này có thể dễ dàng lấy được thông tin từ Internet để giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này cũng khá cao, nó có thể lên tới 30%. ¾ Nghe trộm trên mạng

Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thông tin trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa. ¾ Giả mạo địa chỉ

Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới bạn. ¾ Vô hiệu hoá các chức năng của hệ thống

Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ. Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website của Mỹ đầu tháng 2/2000 vừa qua. ¾ Tấn công vào các yếu tố con người

Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác. Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, bảo mật dữ liệu không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống

thông qua nhiều hình thức khác nhau như qua email hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặn một cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh giác. Nói chung yếu tố con người là một đIểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự hướng dẫn của người quản trị mạng cùng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao độ an toàn của hệ thống bảo vệ. ¾ Một số kiểu tấn công khác

Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đã tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu tấn công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởi những hacker. 1.3. Phương pháp chung ngăn chặn các kiểu tấn công Để thực hiện viêc ngăn chặn các truy nhập bất hợp pháp đòi hỏi chúng ta phải đưa ra những yêu cầu hoạch định chính sách như: xác định những ai có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệ thống cung cấp sẽ được sử dụng như thế nào những ai có quyền xâm nhập hệ thống. Chỉ nên đưa ra vừa đủ quyền cho mỗi người để thực hiện công việc của mình. Ngoài ra cần xác định quyền lợi và trách nhiệm của người sử dụng cùng với quyền lợi và nghĩa vụ của người quản trị hệ thống. Hiện nay, để quản lý thông tin truy nhập từ ngoài vào trong hay từ trong ra ngoài người ta đã thiết lập một bức tường lửa (Firewall) ngăn chặn những truy nhập bất hợp pháp từ bên ngoài đồng thời những server thông tin cũng được tách khỏi các hệ thống site bên trong là những nơi không đòi hỏi các cuộc xâm nhập từ bên ngoài. Các cuộc tấn công của hacker gây nhiều thiệt hại nhất thường là nhằm vào các server. Hệ điều hành mạng, các phần mềm server, các CGI script... đều là những mục tiêu để các hacker khai thác các lỗ hỗng nhằm tấn công server. Các hacker có thể lợi dụng những lỗ hổng đó trên server để đột kích vào các trang web và thay đổi nội dung của trang web đó, hoặc tinh vi hơn nữa là đột nhập vào mạng LAN và sử dụng server để tấn công vào bất kỳ máy tính nào trong mạng LAN đó. Vì vậy, việc đảm an toàn tuyệt đối cho phía server không phải là một nhiệm vụ đơn giản. Điều phải làm trước tiên là phải lấp kín các lỗ hỗng có thể xuất hiện trong cài đặt hệ điều hành mạng, đặt cấu hình các phần mềm server, các CGI script, cũng như phải quản lý chặt chẽ các tài khoản của các user truy cập. Việc bảo mật thông tin cá nhân của người sử dụng truyền đi trên mạng cũng là một vấn đề cần xem xét nghiêm túc. Ta không thể biết rằng thông tin của chúng ta gửi đi trên mạng có bị ai đó nghe trôm hoặc thay đổi nội dung thông tin đó không hay sử dụng thông tin của chúng ta vào các mục đích khác. Để có thể đảm bảo thông tin truyền đi trên mạng một cách an toàn, đòi hỏi phải thiết lập một cơ chế bảo mật. Điều này có thể thực hiện được thông qua việc mã hoá dữ liệu trước khi gửi đi hoặc thiết lập các kênh truyền tin bảo mật. Việc bảo mật sẽ giúp cho thông tin được bảo vệ an toàn, không bị kẻ khác lợi dụng. Ngày nay, trên Internet người ta đã sử dụng nhiều phương pháp bảo mật khác nhau như sử dụng thuật toán mã đối xứng và mã không đối xứng (thuật toán mã công khai) để mã hoá thông tin trước khi truyền trên internet. Tuy nhiên ngoài các giải pháp phần mềm hiện nay người ta còn áp dụng cả các giải pháp phần cứng. Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố con người, chúng ta phải luôn luôn nhắc nhở mọi người có ý thức trong việc sử dụng tài nguyên chung, tránh những sự cố làm ảnh hưởng tới nhiều người.

bảo trì cũng như nâng cấp hệ thống.người quản trị . Kết luận: ¾ Nhiệm vụ bảo mật và bảo vệ gồm ba hướng chính sau: 9 9 9 Bảo đảm an toàn cho phía server Bảo đảm an toàn cho phía client Bảo mật dữ liệu và bảo mật thông tin trên đường truyền Tấn công trực tiếp Nghe trộm trên mạng Giả mạo địa chỉ ¾ Các hình thức tấn công trên mạng 9 9 9 . cũng như chính sách của công ty (các Group Policy triển khai): ¾ Đối với các tài khoản trên hệ thống: 9 Đổi password theo định kỳ với các password phức tạp với độ dài ít nhất là 6 ký tự trong đó phải có ký tự phức tạp. sự cố về điện…. bao gồm vai trò của các IPO – chính sách . ¾ Đối với hệ thống: 9 Đảm bảo hệ thống luôn luôn được cập nhật. ¾ 9 Đối với nơi lưu trữ: Đảm bảo phân quyền một cách hợp lý. An toàn về mặt vậy lý: giải pháp chống cháy. 9 Users chỉ được phép sử dụng ở một máy cố định nào đó và máy đó phải gia nhập vào Domain. 9 Triển khai các chính sách phù hợp cho việc theo dõi. hạn chế những phân quyền mặc định. 9 Xác định thời gian có thể đăng nhập vào hệ thống. không có sự thay đổi hoặc đánh cắp thông tin.người dùng.Công tác bảo mật thường được bắt đầu bằng những cách thiết lập ngay trên hệ thống. 9 9 Đảm bảo luôn luôn có backup để phục hồi khi có sự cố. không chỉ các hệ điều hành mà còn cả những ứng dụng của người dùng. 9 Ghi nhận các sự kiện. 9 Sử dụng các chương trình Antivirus. một cách hợp lý và phù hợp. Đó là một số công tác phải thực hiện để đảm bảo tính bảo mật cho hệ thống. AntiSpyware…. 9 Cấp quyền phù hợp cho từng nhóm người có trách nhiệm về tương tác với dữ liệu. thoát khỏi hệ thống khi hết thời điểm sử dụng mạng. 9 Dữ liệu truyền tải phải đảm bảo an toàn.

. 9 Sử dụng các chương trình Antivirus. thoát khỏi hệ thống khi hết thời điểm sử dụng mạng. một cách hợp lý và phù hợp. 9 Đảm bảo phân quyền một cách hợp lý. không chỉ các hệ điều hành mà còn cả những ứng dụng của người dùng. AntiSpyware…. hạn chế những phân quyền mặc định. 9 Đảm bảo hệ thống luôn luôn được cập nhật.9 9 ¾ 9 Vô hiệu hoá các chức năng của hệ thống Tấn công vào các yếu tố con người Đổi password theo định kỳ Phương pháp chung ngăn chặn các kiểu tấn công 9 Xác định thời gian có thể đăng nhập vào hệ thống. 9 Triển khai các chính sách phù hợp cho việc theo dõi. 9 Cấp quyền phù hợp cho từng nhóm người có trách nhiệm về tương tác với dữ liệu. 9 Đảm bảo luôn luôn có backup để phục hồi khi có sự cố. bảo trì cũng như nâng cấp hệ thống.

khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội bộ hoặc ngược lại.2 ¾ Cài đặt ISA 2004. Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet).BÀI 2: GIỚI THIỆU VÀ CÀI ĐẶT ISA SERVER 2004 Mục tiêu: ¾ Hiểu biết về phần mềm ISA Server ¾ Biết cách cài đặt chương trình ISA Server 2. điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). kiểm soát quá trình truy cập của người dùng theo giao thức. Với phiên bản này chúng ta có thể xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của Doanh nghiệp. Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2004 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự . Tóm lại. Đối với các Doanh nghiệp có những hệ thống máy chủ quan trọng như Mail Server. Các mô hình mạng dùng ISA Server: . hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Giới thiệu Trong số những sản phẩm tường lữa (firewall) kiêm chức năng NAT trên thị trường hiện nay thì ISA ( Internet Connection Sharing ) của Microsoft được nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt. 2. giúp tiết kiệm đáng kể băng thông hệ thống. kiểm soát. đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách.1. ISA Server 2004 có các chức năng chính: 9 Chia sẻ kết nối internet – chia sẻ băng thông của đường trưyền internet. 9 Tăng tốc truy cập Web bằng giải pháp Cache trên Server 9 Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server. thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp. Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa. ISA Server 2004 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông (còn gọi là Internet Connection Sharing) cho các doanh nghiệp có quy mô vừa và nhỏ. Ngoài những tính năng đã có trên ISA Server 2004 Standard. 9 Lập Firewall Server. ISA Server 2004 Enterprise được sử dụng trong các mô hình mạng lớn. ISA 2004 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng. Ngoài các tính năng bảo mật thông tin trên. 9 ISA Server 2004 Enterprise còn có thêm tính năng “Load Balancing” hổ trợ giải pháp cân bằng tải giữa 2 hay nhiều đường truyền internet.không có sự tấn công của Hacker hay sự phòng thủ của người quản trị mạng) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống. ISA Server 2004 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau.

Web Server. File Server. Mail Server… 9 ISA Server tạo thành một Firewall. ngăn cách internet với các Server khác trong mạng.giao tiếp ISA Server qua card giao tếip nội bộ o Local host: máy ISA Server o Firewall: Hệ thống kiểm soát các luồng dữ liệu ra/vào. ¾ Trước khi cài đặt ISA Server 2004 9 Vài thuật ngữ dùng trong ISA Server o External network: các host giao tiếp với ISA Server qua card giao tiếp internet trên máy ISA o Internal network: các host thuộc mạng nội bộ . 9 Chuẩn bị máy trước khi cài ISA Server: .9 ISA Server kiêm nhiệm Domain Controller. o Web Caching: Nơi lưu trữ (tạm thời) dữ liệu từ các Web Server đi vào internet ngang qua ISA Server. ngang qua “Local host”.

o Đặt tên 2 card mạng trên máy sao cho dễ nhận diện. o Xác lập địa chỉ IP tĩnh cho các card mạng Local: o Xác lập địa chỉ IP tĩnh cho các card mạng Internet: . Ví dụ: Local và Internet.o Máy chủ phải cài Windows 2003 server. Một dùng giao tiếp nội mạng và một dùng giao tiếp ra Internet. có 2 NIC. o Server nên có DHCP (để cấp địa chỉ IP động) và DNS (để phân giải tên miền).

2.exe trên CDROM ISA 2004. Mở file ISAAutorun.¾ Tiến hành cài đặt ISA Server 2004 1. Màn hình Setup ISA 2004 Æ Chọn “Install ISA Server 2004” .

Chọn kiểu cài đặt: o Typical: ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu o Complete: tất cả các dịch vụ sẽ được cài đặt như Firewall. Firewall Client Installation Share o Custom: cho phép chọn những thành phần cần cài đặt của ISA Server 2004 Ở đây chúng ta chọn kiểu cài đặt là Typical và giữ mặc định đường dẫn thư mục cài đặt bộ ISA Server Æ Next . Message Screener.3.

Xác định chính xác dãy địa chỉ IP thuộc Internal Network bằng cách nhấn nút “Add” 192.10. các Client trong internal đã cài đặt ISA Firewall Client 2000 thì check vào “Allow computers running ealer version of Firewall Client software to connect” để chúng có thể kết nối với ISA 2004 Server .192.4.255 5.168. Nếu trước đây.1 -.10.168.

khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội bộ hoặc ngược lại. 9 Lập Firewall Server. . Kết luận: ¾ ISA Server 2004 có các chức năng chính: 9 Chia sẻ kết nối internet – chia sẻ băng thông của đường trưyền internet. 9 9 Tăng tốc truy cập Web Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server. Tiếp tục cài đặt Æ nhấn Finish để hoàn tất quá trình cài đặt ISA 2004.6. kiểm soát.

. Ping. Điều này làm cho tất cả giao tiếp mạng từ Server đến Internal hoặc External đều bị khoá. Khi gặp một rule thoả đìều kiện của luồng dữ liệu. Access rule và Publishing rule. Monitoring. Giới thiệu Mặc định. ISA Server 2004 sẽ thay thế dịch vụ “Routing and Remote Access” của Windows Server để thực hiện chức năng NAT. sau khi ISA Server 2004 cài đặt hoàn tất.1. Tuy nhiên. • Khung bên phải: còn được gọi là Tasks Panel chứa các tác vụ đặc biệt như Publishing Server. Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập Cấu hình ISA Firewall Policy thông qua giao diện của chương trình “ISA Management Console” trên chính máy ISA Server hoặc cài công cụ quản lý “ISA Management Console” trên một máy khác và kết nối đến ISA Server để thực hiện các thao tác quản trị từ xa. ra thông qua ISA Server 3. Cache. FTP.. Firewall Policy của ISA Server mặc định là đóng tất cả các port (TCP lẫn UDP) trên máy ISA Server. RDP. ¾ System policy: Thường ẩn (hiden).BÀI 3: FIREWALL POLICIES TRÊN ISA SERVER Mục tiêu: ¾ Hiểu biết và nắm rỏ các chính sách trên ISA Server ¾ Quản lý các giao thức truy cập vào. luồng dữ liệu đó sẽ bị chặn hoặc cho qua mà không quan tâm đến các rule đặt phía dưới. Firewall Policies trên ISA Server cho phép người quản trị đặt ra các quy tắc (Rule) cho phép (Allow) hoặc cấm (Deny) các luồng dữ liệu (theo giao thức kết nối – Protocol) di chuyển từ nơi này đến nơi khác (Source và Destination)... áp đặt cho một hay nhiều người dùng cụ thể nào đó (Users).... Enable VPN Server. Access Rule. RDP. Giao diện của “ISA Server Management console” có 3 phần chính là: • Khung bên trái: để duyệt các chức năng chính như Server name. Mail. • Khung ở giữa: hiển thị chi tiết các thành phần chính mà chúng ta chọn như System Policy. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như DHCP.. được dùng cho việc tương tác giữa firewall và các dịch vụ mạng khác như ICMP. Các luồng dữ liệu đi ngang qua ISA Server sẽ chịu sự kiểm duyệt của Firewall Policies dựa trên các quy tắc mà người quản trị đặt ra hoặc do ISA mặc định sẵn. DNS… đi ngang qua ISA Server ¾ Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server. Các quy tắc sẽ được tham chiếu theo thứ tự (Order) từ trên xuống dưới.. ¾ Access Rule: Là tập hợp các quy tắc truy cập các luồng dử liệu như Internet. System policy được xử lý trước khi access rule được áp dụng. . ISA Server 2004 Firewall có 3 dạng chính sách bảo mật là: System policy. Firewall Policy..

Mở “ISA Managerment” (trong Start Menu Æ Programs Æ Microsoft ISA Server”). Gõ vào Internal Access to Local host trong ô “Access Rule Name” Æ click Next. 1. áp đặt cho tất cả người dùng mạng.2 Cho phép các máy client truy cập đầy đủ vào ISA Server Một quy tắc kiểu Access Rule do người quản trị đặt ra sẽ bao gồm các thành phần: 9 9 9 9 9 9 Rule name: tên của quy tắc . .3. Tên này sẽ gợi nhớ nội dung của quy tắc Action: Hành xử của quy tắc Cho (Allow) hoặc Cấm (Deny) Protocol: loại giao thức (hoặc dịch vụ) mà quy tắc tác động tới Source: nguồn xuất phát của luồng dữ liệu Destination: đích đến của luồng dữ liệu Users: Những tài khoản sẽ chịu tác động của quy tắc Dưới đây là thao tác tạo ra một Rule cho phép tất cả cả Client trong mạng nội bộ truy cập tất cả dịch vụ trên ISA Server.đặt tuỳ ý. chọn Firewall Policy Æ Create New Access Rule 2.

Trong “Access rule Source” chọn Add Æ chọn Internal Æ close Æ sau đó click Next .3. Cửa sổ “Protocol” chọn All outbound traffic Æ click Next 5. Mục “Rule Action” chọn Allow Æ click next 4.

Trong “Access rule Destinations” chọn Local Host Æ click Close Æ sau đó click Next 7.6. Chọn All Users Æ click Next .

Kết quả: . Click Finish để hoàn tất.8.

Nhập tên của rule (Access Rule Name) ví dụ như: Internal Access Internet Æ click Next. 2. Cho phép các máy nội bộ truy cập tất cả dịch vụ trên External. Tại “Rule Action” chọn Allow (Kiểu hành xử của quy tắc là Cho phép)Æ click Next 4. Trong “Firewall Policy”.Sau khi quy tắc này được “Apply”. tất cả các Client thuộc Internal sẽ truy cập được tất cả giao thức và dịch vụ trên máy Local Host.3. chọn All outbound traffic (áp đặt tất cả các luồng dữ liệu của mọi dịch vụ) Æclick Next . 1. Áp đặt cho tất cả mọi người dùng 3. 3. Trong “ Protocol”. tạo một Access rule mới.

Trong “Access Rule Source” chọn Add Æ chọn Internal Æ close Æ sau đó click Next 6. click Close Æ sau đó click Next .5. Trong “Access rule Destinations” chọn External.

Cách tạo tương tự như hai phần trên: Rule Name: Local Host Access to Internet. Cho phép Local Host truy cập Internet.7.4. Kết quả: Tất cả các máy thuộc mạng nội bộ sẽ được phép truy xuất tất cả dịch vụ trên internet thông qua ISA Server. Action: Allow Protocols: All outbound traffic. Source: Local Host Destination: External User: All User Click “Apply” để cập nhật Access rule vừa tạo Kết quả: . Click Finish rồi Apply để hoàn tất. Áp đặt cho tất cả mọi người dùng 3. Chọn All Users trong cửa sổ “User Sets”Æ click Next 8.

5.Máy ISA Server được phép truy cập tất cả dịch vụ trên internet. Áp đặt tất cả người dùng. Protocol: ƒ ƒ Tại “This rule applies to:” chọn “Selected protocols” Click “Add” để chọn 2 giao thức “DHCP Request” và “DHCP Reply” . chức năng DHCP trên ISA Server sẽ bị khoá lại. Cũng nên hiểu rằng. 9 DHCP Server đón nhận yêu cầu này và hồi đáp thông số IP cho DHCP Client (gọi là DHCP reply – port 68) ¾ Tạo một rule cho phép dịch vụ DHCP hoạt động theo mẫu 1. Cho phép ISA Server cấp IP động cho các Client Giả định. Rule Action: Allow 3. sau khi cài đặt ISA Server. máy ISA Server cũng là một DHCP Server. Chắc chắn rằng. dịch vụ DHCP hoạt động 2 chiều: 9 Từ các DHCP Client. 3. Access rule name: Allow DHCP 2. tín hiệu xin IP được phát lên mạng (gọi là DHCP request – port 67).

User sets: chọn All User 7. Cho phép các Client và Local host truy vấn DNS Tương tự như DHCP. dịch vụ DNS server cài đặt trên ISA Server cũng không được phép hoạt động nếu chưa tạo rule cho phép DNS cũng hoạt động 2 chiều như DHCP: 9 Từ các DNS Client. Access rule name: Allow DNS 2. hoặc truy vấn IP (gọi là DNS Client) được gởi đến DNS Server 9 Nếu ISA Server cũng là DNS Server. Access rule source: chọn Internal và Local Host 5. Protocol: . nó sẽ tiếp nhận yêu cầu truy vấn và giải đáp IP (hoặc tên miền) cho DNS Client (DNS Server và DNS cùng dùng port 53) ¾ Tạo một rule cho phép dịch vụ DNS hoạt động theo mẫu 1.4. tín hiệu truy vấn tên miền.6. Rule Action: Allow 3. Click “Apply” để cập nhật Access rule vừa tạo Kết quả: Các máy thuộc internal thừa hưởng dịch vụ DHCP từ ISA Server 3. Access rule destination: chọn Local Host và Internal 6.

ƒ Tại “This rule applies to:” chọn “Selected protocols” ƒ Click “Add” để chọn 2 giao thức “DNS” và “DNS Server” (nếu DNS server chỉ làm nhiệm vụ Forwaders, có thể không cần nạp “DNS Server”)

4. Access rule source: chọn Internal và Local Host 5. Access rule destination: chọn Local Host và Internal 6. User sets: chọn All User 7. Click “Apply” để cập nhật Access rule vừa tạo Kết quả:

Tất cả các Client trong mạng nội bộ thừa hưởng dịch vụ DNS cung cấp từ ISA Server

Lưu ý: Trường hợp máy ISA server không phải là DNS Server, phải thay đổi Destination là External. Có thể thay Local Host bằng một hay nhiều DNS Server cụ thể nào đó trên mạng. Điều này đòi hỏi người quản trị phải định nghĩa trước đối tượng Computer hoặc Computer sets

¾

Kiểm tra khả năng phân giải tên miền. 9 Start menu Æ Run Æ CMD (mở command prompt) 9 Gõ lệnh: nslookup (lệnh tra cứu DNS) 9 >server 203.113.188.1 (chỉ định DNS server dùng ra cứu tên mền) 9 >www.google.com (tra cứu IP address của Google)

3.7.

Cho phép các client truy xuất mail chuyên dụng (SMTP, POP3 hoặc IMAP)

Mail chuyên dụng: truy xuất mail bằng phần mềm chuyên dụng như: MS Outlook Express, MS Outlook, Thurnbird, Netscape Mssenger… (không phải truy xuất mail trên Web) Dịch vụ mail cũng hoạt động 2 chiều: 9 Từ các mail Client, thư sẽ được gởi đến mail Server bằng giao thức SMTP (Simple Mail Transfer Protocol) – dùng port mặc định là 25 9 Thư nhận về từ Mail Server bằng 1 trong các giao thức: o o o POP3 (Post Office Protocol) – port mặc định 110 IMAP4 (Internet Mail Access protocol) – port 143 POP3S (POP3 Security) – port 995

o ¾

IMAP4S (IMAP4 Security) – port 993

Tạo một access rule cho phép dịch vụ Mail hoạt động theo mẫu: 1. Access rule name: Allow Mail 2. Rule Action: Allow 3. Protocol: ƒ ƒ Tại “This rule applies to:” chọn “Selected protocols” Click “Add” để chọn các giao thức “SMTP”, “POP3”, “IMAP”

4. Access rule source: chọn All Networks (tất cả các mạng) 5. Access rule destination: chọn All Networks 6. User sets: chọn All User 7. Click “Apply” để cập nhật Access rule vừa tạo Kết quả:

Tất cả các máy thuộc tất cả mạng được phép truy cập dịch vụ gởi/nhận email lẫn nhau. Áp đặt cho tất cả người dùng 3.8. Quản lý và giám sát truy cập Internet trong ISA 2004.

Mặc dù hệ thống đã kết nối được Internet, nhưng một số Doanh nghiệp có những yêu cầu riêng về chính sách hệ thống như: lọc bỏ Web “đen” (không cho nhân viên truy cập); không cho phép chat bằng một công cụ nào đó; cho phép tải tập tin thông qua FTP… Bên cạnh đó, để phục vụ nhu cầu duyệt web, giao thức HTTP được cho phép sử dụng nhưng cấm không cho tải những tập tin có thể thực thi trên hệ thống Windows qua HTTP để ngăn ngừa sự lây nhiễm virus…. ISA Firewall Policy cho phép thực hiện điều này.

3.8.1. Cấm tất cả các nhân viên truy cập vào những website không mong muốn – Web Filter.
Để thực hiện, đầu tiên, phải tạo mới một đối tượng mạng kiểu “URL sets”. Đối tương này dùng chứa danh sách các địa chỉ URL (Uniform Resource Locator – tạm hiểu là nơi chứa tài nguyên để người dùng truy cập) mà người quản trị muốn cấm (hoặc cho) truy cập tới đó. 1. Thao tác tạo mới một “URL sets” và nhập vào đó các URLs 2. Trong “ISA Managerment”, chọn Toolbox (nằm ở nhánh bên phải) Æ Network Objects. Click New Æ URL Set

3. Tại dòng Name: nhập tên của bộ URL sets. Ví dụ Webs Denied 4. Click nút “New” để nhập vào các URL cho bộ Sets (Xem hình minh hoạ)

-

Click OK để thêm URL set “Webs Dinied” vào danh sách đối tượng. 5. Tạo Access rule: Web Filter 6. Access rule name: Web Filter 7. Rule Action: Deny

Click “Apply” để cập nhật Access rule vừa tạo Kết quả: . Access rule source: chọn Internal 10.Access rule destination: chọn URL sets “Webs Denied” 11.8. Protocol: chọn “Selected protocols” và Add vào 2 giao thức HTTP và HTTPS 9.User sets: chọn All User 12.

(Xin xem lại học phần Windows 2003 Server) 1. mỗi người dùng phải sở hữu một tài khoản truy cập vào hệ thống mạng Domain của Doanh nghiệp. Riêng chiều thứ 7. .2. Áp đặt tất cả người dùng 3. nếu muốn Firewall Policy áp đặt cho người dùng cụ thể. Cấm các nhân viên thuộc phòng ban nào đó truy cập Internet trong giờ làm việc. không khống chế thời gian. Đầu tiên người Quản trị phải tạo biểu đồ thời gian làm việc để dựa vào đó thiết lập các chính sách Firewall theo thời gian. những ô màu trắng là giờ không có hiệu lực của schedule Hình minh hoạ dưới đây là schedule quy định giờ làm việc từ 8h00 đến 12h00 và từ 14h00 đến 18h00 các ngày trong tuần. Ngược lại. Tạo mới Schedule gồm các nội dung ƒ ƒ Name: tên của Schedule Description: mô tả chi tiết nội dung schedule (nếu cần) ƒ Các ô vuông biểu thị giờ trong ngày. chọn Toolbox (ở nhánh bên phải) Æ Schedules Æ Click New 3. Trong đó. những ô màu xanh dương tượng trưng cho những giờ mà schedule sẽ có hiệu lực. Xác định biểu đồ thời gian làm việc trong cơ quan (Schedule) 2.8. trừ Chủ nhật. Trong “ISA Managerment”.Tất cả máy nội bộ không được phép truy cập vào các Web site có trong danh sách “Webs Denied”. Tương tự.

Trong cửa sổ “Users”: Chọn “Add..¾ Tạo nhóm người dùng trong ISA Server Việc tạo nhóm người dùng (gọi là User sets) sẽ giúp cho người Quản trị áp đặt “access rule” cho người dùng cụ thể trong mạng. 1. . chọn Toolbox (ở nhánh bên phải) Æ Users Æ Click New 2.. “ Æ “Windows user and Groups. Chọn các Tài khoản thuộc AD muốn đưa vào bộ “User Sets” Æ click Next Æ Finish... Đặt tên cho đối tượng User set. Trong “ISA Managerment”. Ví dụ “Sale Group” 3. 4.

Tạo Access Rule cấm nhóm “Sale Group” kết nối internet trong giờ làm việc: Các lựa chọn cho Access rule này: 9 Access rule name: Cam Sales truy cap internet 9 Rule Action: Deny 9 Protocol: chọn “All outbound protocol” 9 Access rule source: chọn Internal 9 Access rule destination: chọn External 9 User sets: loại bỏ All User.8.3.3. Thêm vào “Sale Group” Kết quả: Sau khi tạo xong Access rule. Properties cho Access rule này Æ chọn tab “Schedule” để áp đặt thời gian mà Access rule có hiệu lực .

8. Các lựa chọn cho Access rule này: 9 Access rule name: Cho truy cap trong gio lam viec 9 Rule Action: Allow 9 Protocol: chọn “All outbound protocol” 9 Access rule source: chọn Internal 9 Access rule destination: chọn External 9 User sets: loại bỏ All User Sau khi tạo xong Access rule. Properties cho Access rule này Æ chọn tab “Schedule” Æ chọn “Work times” để áp đặt thời gian mà Access rule có hiệu lực Click “Apply” để cập nhật Access rule vừa tạo Kết quả: . Tạo access rule cho phép các nhân viên thuộc phòng ban nào đó truy cập internet trong giờ được qui định.Click “Apply” để cập nhật Access rule vừa tạo 3.4.

5. chữ (Text). Nếu Access rule loại “Allow” được xếp trên rule “Deny”. 9 Rule Action: Allow 9 Protocol: chọn “Selected protocols” và Add vào 2 giao thức HTTP và HTTPS 9 Access rule source: chọn “Internal” 9 Access rule destination: chọn “External” 9 User sets: loại bỏ All User Sau khi tạo xong Access rule. Cho phép các nhân viên truy cập Web chỉ có Text và Image.5. Áp đặt cho tất cả mọi người Nên lưu ý đến thứ tự (Order) của 2 access rule Cấm và Cho truy cập internet ở phần 3. các người dùng thuộc Sale Group sẽ được phép truy cập (do rule “Allow” áp dụng cho “All Users” 3.5.8.2 và 3. Properties cho Access rule này Æ chọn tab “Content type” để qui định loại nội dung tài liệu có hoặc không có hiệu lực đối với Access rule.Tất cả các máy nội bộ được phép truy cập internet trong thời gian làm việc.3. chúng ta chỉ cho phép truy cập nội dung thuộc dạng tài liệu (Documents). Các lựa chọn cho Access rule này: 9 Access rule name: All Web Text. siêu văn bản (HTML Documents) và ảnh (Images) . Ở đây.

ngăn chặn virus (dạng thực thi ..Việc khống chế nội dung tài liệu truy cập sẽ cho người quản trị nhiều giải pháp trong việc giảm băng thông. Khi gặp một rule thoả đìều kiện của luồng dữ liệu. ¾ ISA Server 2004 Firewall có 3 dạng chính sách bảo mật là: System policy.dll…) từ internet nhiễm vào mạng nội bộ. RDP. ¾ Các luồng dữ liệu đi ngang qua ISA Server sẽ chịu sự kiểm duyệt của Firewall Policies dựa trên các quy tắc mà người quản trị đặt ra hoặc do ISA mặc định sẵn. ISA Server 2004 sẽ thay thế dịch vụ “Routing and Remote Access” của Windows Server để thực hiện chức năng NAT.. được dùng cho việc tương tác giữa firewall và các dịch vụ mạng khác như ICMP. Firewall Policy của ISA Server mặc định là đóng tất cả các port (TCP lẫn UDP) trên máy ISA Server. 9 System policy: Thường ẩn (hiden). Ping. System policy được xử lý trước khi access rule được áp dụng. .exe.*. sau khi ISA Server 2004 cài đặt hoàn tất.. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như DHCP. Kết luận: ¾ Mặc định. Access rule và Publishing rule. *. luồng dữ liệu đó sẽ bị chặn hoặc cho qua mà không quan tâm đến các rule đặt phía dưới. ¾ Firewall Policies trên ISA Server cho phép người quản trị đặt ra các quy tắc (Rule) cho phép (Allow) hoặc cấm (Deny) các luồng dữ liệu (theo giao thức kết nối – Protocol) di chuyển từ nơi này đến nơi khác (Source và Destination). RDP. Các quy tắc sẽ được tham chiếu theo thứ tự (Order) từ trên xuống dưới.. nghe nhạc online. áp đặt cho một hay nhiều người dùng cụ thể nào đó (Users). Tuy nhiên. ngăn chặn xem phim.

Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập . Mail.9 Access Rule: Là tập hợp các quy tắc truy cập các luồng dử liệu như Internet. FTP. DNS… đi ngang qua ISA Server 9 Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server.

Web Server này ngăn cách internet bởi ISA Server.100). Giới thiệu: Để người dùng bên ngoài Internet có thể truy cập đến các Mail hoặc Web server trong Doanh nghiệp mình chúng ta cần phải "Publish .BÀI 4: PUBLISSING WEB VÀ MAIL TRONG ISA 2004. SMTP. Web Server Publishing. 1. Trong “ISA Managerment” Æ Firewall Policy Æ Tasks Æ Publishing a Web Server 2.2. Giả định.1. người quản trị phải thực hiện Publish Web Server trên ISA Firewall. POP. trong nội mạng của Bạn có một máy Web Server (IP address là 192. Để người dùng internet truy xuất Web Server trên qua ISA Server.xuất bản" chúng thông qua “ISA Server” của mình Cần lưu ý là để có thể truy cập email thì phải có thêm những protocol khác như DNS.. Đặt tên cho Rule tại “Web publishing ..1. Vì vậy có thể chúng ta cần cho phép các yêu cầu về DNS từ Mail Server với Domain Controler (có cài tích hợp DNS) trong lớp mạng Internal hay với các ISP DNS 4.168. Mục tiêu: ¾ Biết cách Publish các Web Server và Mail Server ra mạng ngoài 4.

rule name 4.100 Nếu muốn người dùng internet chỉ được phép truy cập tới một “Virtual Site” trên Web Server nhưng lại “tưởng nhầm” là đang truy cập vào Website gốc thì check vào “Forward the origin host header instead of actual one” và nhập đường dẫn của “Virtual site” . Chọn Action là Allow Æ Click Next.1.168. 5. Trong “Define Web Server to publish” (Định Server sẽ được publish). Ví dụ: 192. nhập IP address của Web Server muốn publish.3.

6. . Cửa sổ “Publish Name Detail” cho phép lựa chọn khả năng Web server đáp ứng yêu cầu truy cập đối với người dùng thuộc domain chỉ định (this Domain name – type below) hoặc đối với người dùng thuộc bất kỳ Domain nào (Any Domain name).

Cửa sổ “Select Web Server Listener” cho phép qui định IP address và port mà ISA server sẽ tiếp nhận yêu cầu truy cập Web từ internet vào. Nếu người quản trị chưa định nghĩa một Listener nào thì click “New” để tạo mới. .7.

Tạo mới một Web listener với tên ví dụ là: Web listener .8.

Cửa sồ “Port Specification”: chỉ định port nhận yêu cầu truy cập Web. mặc định là 80. chọn External (Nguồn gởi yêu cầu truy cập từ tất cả các IP address trên internet). Æ click Next 10.9. Cửa sồ “IP Addresses”: trong danh sách “Listen for request from these networks” (Lắng nghe yêu cầu truy cập từ những mạng này). .

11. Tại đây. có thể tinh chỉnh lại Listener bằng nút “Edit” hoặc chọn Listener vừa tạo Æ click Next. Chọn Finish để trở lại màn hình ”Select Web Listener ”. .

Đặt tên cho Rule. Mail Server Publishing.3. Publish Mai server cho Client truy cập trên Web (WebMail) 2.12.168.100.1. Web Server sẽ đáp ứng yêu cầu truy cập Web cho tất cả người dùng. 1. Ví dụ như Publishing Exchange server . 4. Trong “ISA Managerment” Æ Firewall Policy Æ Tasks Æ Publish a Mail Server 3. Chọn áp đặt cho “All Users” và Finish Kết quả: Tất cả các yêu cầu truy cập Web gởi từ Internet đến ISA Server (qua port 80) sẽ được chuyển đến Web server 192.

Cửa sổ “Select Service”: Chọn “Outlook web access” và “Exchange ActicveSync”. Client access: Cho phép Client truy cập mail bằng các trình duyệt mail chuyên dụng qua giao thức SMTP. 7. . Cửa sổ “Select Access type” đưa ra 3 kiểu truy xuất từ các Client bên ngoài vào Mail Server trong nội mạng: 5. chọn Web Client Access. Web Client Access : Cho phép truy cập Mail Server qua Web bằng cách dịch vụ như: OWA. OMA… 6...IMAP. 8.4. POP. Server-to-Server: Chuyển tiếp mail giữa các Mail Server Ở đây.

9. Secure connection to clients: Thiết lập bảo mật cho kết nối giữa ISA Server và mail clients 11.mail clients 12. Không bảo mật kết nối . Standard connections only.ISA Server . Cửa sổ “Bridging mode” cho 3 lựa chọn thiết lập kết nối giữa Client và Mail Server theo 3 kiểu: 10. Secure connection to clients and mail Server: Thiết lập bảo mật cho kết nối giữa Mail Server .

6. Cửa sổ “Specify Web Mail server” yêu cầu nhập IP address của Mail Server. 14. Điều này có nghĩa port của WebMail cũng là HTTP port (80).1. . Do vậy.13. cần phải nhận thức rỏ rằng dịch vụ Webmail cho phép người dùng truy cập mail dựa trên Web. 15. Cửa sổ “Public Name Details”: có ý nghĩa tương tự publish web. chọn Web listener tạo phần 3. Cửa sổ “Select Web Listener”: Ở đây. Chọn Any domain name.

16.99 cho mọi người truy cập theo kiểu WebMail ¾ Publish mail Server cho truy cập bằng trình duyệt mail chuyên dụng. Trong “ISA Managerment” Æ Firewall Policy Æ Tasks Æ Publish a Mail Server . Click Apply để cập nhật quá trình thiết lập.1. Kết quả: Publish mail Server 192.168. 1. 17. Trong “User sets” chọn All users.

POP. IMAP4 và SMTP..2. .) 4. Cửa sổ “Select Access type” đưa ra 3 kiểu truy xuất từ các chọn Client access: (Cho phép Client truy cập mail bằng các trình duyệt mail chuyên dụng qua giao thức SMTP.IMAP. Đặt tên cho Rule. Ví dụ như Publish mail server with POP3 3.. Trong “Select Services” Chọn các dịch vụ như: POP3.

Chỉ định vị trí của các mail Client truy cập vào Mail Server. Ấn định IP address của Mail Server tại “Select Server” 6. chọn External 7. Chẳng hạn. (All IP address) .5.

9. Chọn Finish để hoàn tất.8. Vì vậy có thể chúng ta cần cho phép các yêu cầu về DNS từ Mail Server với Domain Controler (có cài tích hợp DNS) trong lớp mạng Internal hay với các ISP DNS ¾ .. POP.168. SMTP. Click Apply để cập nhật quá trình thiết lập Kết quả: Ba giao thức cho phép truy cập mail Server 192..99 từ các mail client qua ISA Server bằng trình duyệt mail chuyên dụng Kết luận: ¾ Để người dùng bên ngoài Internet có thể truy cập đến các Mail hoặc Web server trong Doanh nghiệp mình chúng ta cần phải "Publish .1.xuất bản" chúng thông qua “ISA Server” của mình Cần lưu ý là để có thể truy cập email thì phải có thêm những protocol khác như DNS.

4. 2. cache không hoạt động bởi vì không gian đĩa cứng dùng làm cache chưa được xác định. ISA Sẽ lưu thông tin đó vào cache. ISA Server chuyển yêu cầu đó ra Web Server trên internet 3. Mặc định. sau khi cài đặt ISA server. Client 1 gởi yêu cầu truy cập Web tới ISA Server. Một bản copy của thông tin được chuyển về Client 1. ¾ Hoạt động của Cache: Có một hệ thống kết nối LAN – Internet như hình dưới.BÀI 5: TIẾT KIỆM BĂNG THÔNG INTERNET VỚI TÍNH NĂNG “CACHE” VÀ “CONTENT DOWNLOAD JOB” Mục tiêu: ¾ Hiểu biết về cách họat động của cache ¾ Biết cách cấu hình cache trong ISA Server 5. 5. Cache và hoạt động của Cache Định nghĩa Cache trên ISA: ¾ Cache là một không gian đĩa cứng (trên máy ISA Server) dùng lưu trữ các dữ liệu đi ngang qua ISA server.1. Thông tin hồi đáp từ Web Server sẽ được chuyển về ISA Sever. Khi Client 2 gởi yêu cầu truy cập web tới ISA Server. Máy ISA Server đã được cấu hình Cache: 1. .

.1.. ISA Server yêu cầu ổ đĩa chứa cache phải có “file system” là NTFS. Tại nhánh bên trái của “ISA server 2004 Management”. Xác định dung lượng tối đa cho cache tại “Maximume cache size (MB)”. Cấu hình Cache trong “ISA Management” 1.1. làm giảm tải cho băng thông đường truyền internet. ¾ Ưu nhược điểm của Cache trên ISA server: Cache giúp tăng hiệu suất sử dụng những thông tin tải về được từ internet.. Click nút “Set” để ấn định dung lượng cache. người dùng Client sẽ cảm thấy truy cập web nhanh hơn Do thông tin thường lấy từ cache. ISA Server sẽ hồi đáp về Client 2 mà không cần truy xuất ngoài internet.” (định ổ đĩa làm cache) 2. Đồng thời. Nếu thông tin của yêu cầu đó có sẵn trong cache.6. 3. mở rộng mục “Configuaration” Æ Click chuột phải vào Cache Æ chọn “Define Cache Drives. Dung lượng cho cache do nhà quản trị tự xác lập tuỳ thuộc mật độ truy cập Web và FTP của các Client và dung lượng còn trống của ổ đĩa. Từ đó. người dùng thường chỉ được truy cập những thông tin cũ.. Các thông tin mới hơn phải đợi ISA cache làm tươi (refresh) lại vào lúc thời gian lưu trữ thông tin đó trong cache hết hạn 5.

Sau khi cache đã được định nghĩa..4. Chọn tab “Active Caching” Æ Đánh dấu check vào “Enable Active Caching” (Kích hoạt cho cache) .. 5. người quản trị cần phải kích hoạt cho Cache bằng cách: Click chuột phải vào mục Cache Æ chọn Properties.

ƒ Less Frequenly: Nếu người quản trị cho rằng việc giảm băng thông internet là quan trọng hơn so với việc gia tăng tần suất “làm mới” thông tin trong cache. chọn 1 trong 3 giải pháp trên và Click OK đẻ xác nhận. ƒ Normally: Cả 2 hành động. Khi ‘Apply” phải chọn “Save the changes and restart the services” .6. Do có cấu hình thêm dịch vụ mới. Tùy thuộc vào nhu cầu. 8. ISA cho người dùng lựa chọn 1 trong 3 giải pháp caching: ƒ Frequenly: Nếu người quản trị muốn gia tăng tần suất truy vấn thông tin mới trên các Web (hay FTP) server. làm mới thông tin trong cache và giảm băng thông được người quản trị đặt ngang nhau. 7.

5. Đặt tên cho Cache Rule.2. URLs là địa chỉ những web site chứa thông tin cần cập nhật mới liên tục. 3. Như đã đề cập ở trên. Xác lập Cache Rule. Thao tác tạo “Cache Rule” 1. người quản trị có thể tạo mới một “cache rule” không cho cache những thông tin từ nhhững URLs đòi hỏi luôn cập nhật thông tin mới nhất.1. tìm kiếm…Để giải quyết vấn đề này. Cửa sổ “Cache rule destination” xác định đích đến là các URL chịu tác động của “cache rule”. Trên khung Task chọn Create a Cache Rule 2. Click “Add” để đưa danh sách URLs này vào “Cache destination” . Ví dụ là: None Caching. Cache trong ISA server giúp tiết kiệm băng thông. nhưng làm hạn chế truy cập những thông tin mới như: báo chí. Ở đây.

Nếu chưa tạo một danh sách chứa các URLs “none caching” nào.4. click “New” Æ “URL Set” .

6. chọn nút New để nhâp vào địa chỉ của những Web site sẽ không lưu trữ thông tin trong ISA cache. Sau đó.5. mở mục URL Sets Æ chọn No Cache Webs Æ Add . Nhấn OK để quay trở lại cửa sổ Add New Network Entities. Nhập tên cho “URL Set” là “No Cache Webs”.

7. Cuối cùng nhấn Finish để kết thúc quá trình thiết lập. . Trên cửa sổ “Cache Content”: chọn “Never. không quan tâm đến các lựa chọn trên màn hình “Content Retrieval” 8. Do dự định của phần này là không cache nội dung của những web site đã liệt kê trong URL Sets “No cache webs”. no content will ever be cached” (Không cache nội dung) 9.

.. Để hổ trợ tăng tốc truy cập. Tại nhánh bên trái của “ISA server 2004 Management”.” 2. trên hệ thống nội bộ có nhiều người dùng trên thường hay truy cập vào trang web nào đó để xem các thông tin.vn) 3. Xác định thời điểm chạy tiến trình Download .5. Cấu hình Content Download Job Giả sử.edu. mở rộng mục “Configuaration” Æ Click chuột phải vào Cache Æ chọn “New Æ Content Download Job. người quản trị sẽ cấu hình ISA Server tự động tải nội dung của trang web này lưu vào cache trước vào ngày giờ nào đó trong tuần (gọi là Content Download Job) Thao tác cấu hình “Content Download Job” 1.2. Đặt tên cho Content Download Job (Ví dụ: ispace.

Cửa sổ “Content download” Nhập vào địa chỉ web site cần tải về trong ô “Download content from this URL” 5. ¾ Cấu hình cho Client sử dụng Cache và “Content download job” trên ISA Server . Chọn giá trị mặc định trong các bước tiếp theo cuối cùng nhấn Finish để hoàn tất.4.

“Content download job” trên ISA Server chỉ hổ trợ cho những Client xem ISA Server như là một “Web Proxy Server” hoặc “FTP Proxy Server”.. Đồng thời. Từ đó. ¾ Cache giúp tăng hiệu suất sử dụng những thông tin tải về được từ internet. Kết luận: ¾ Cache là một không gian đĩa cứng (trên máy ISA Server) dùng lưu trữ các dữ liệu đi ngang qua ISA server. Client khai báo Proxy Server cho các trình duyệt. phải đáp ứng 2 điều kiện: 9 9 Cấu hình thêm chức năng “Proxy Server” cho ISA Server. người dùng thường chỉ được truy cập những thông tin cũ. Mặc định. Các thông tin mới hơn phải đợi ISA cache làm tươi (refresh) lại vào lúc thời gian lưu trữ thông tin đó trong cache hết hạn . các máy Client xem ISA Server là một “Default Gateway”. người dùng Client sẽ cảm thấy truy cập web nhanh hơn ¾ Do thông tin thường lấy từ cache.Các máy Client trong mạng truy cập internet qua ISA Server theo 2 hình thức: 9 9 Client sử dụng ISA Server như là một “NAT Server” Client sử dụng ISA Server như là một “Proxy Server” Sử dụng ISA Server như là một SecureNAT. làm giảm tải cho băng thông đường truyền internet. cache không hoạt động bởi vì không gian đĩa cứng dùng làm cache chưa được xác định. Sử dụng ISA Server như là “Proxy Server”. sau khi cài đặt ISA server.

(ghi nhận port mặc định của Proxy là 8080) 3. Cấu hình: 1. Khai báo Proxy Server cho Client.1.BÀI 6: CẤU HÌNH “PROXY SERVER” CHO ISA SERVER Mục tiêu: ¾ Hiểu biết về proxy Server ¾ Cấu hình Proxy Server trong ISA 6. Cửa sổ “Local Host Properties” Æ Check mục “Enable Web Proxy” Æ OK. Trong “ISA Server Management” Æ chọn “Network” (nhánh bên trái) Æ Properties cho “Local Host” 2. .

.ƒ ƒ ƒ Trên máy Client: Vào Control Panel Æ Internet Options Chọn tab “Connection” Æ nút “LAN Settings” Check vào “Use a Proxy Server…” và nhập IP address (hoặc tên máy) và port của Proxy 6. Chọn “Modify” để thêm/bớt các thành phần. Trên máy ISA Server: Install lại bộ “MS ISA Server 2004” 2. người Quản trị phải nạp thêm thành phần “ISA Firewall Client” cho bộ phần mềm ISA Server 2004. 1. Sử dụng “ISA Firewall Client” để tự động cấu hình Proxy Để có bộ source “ISA Firewall Client” cài đặt cho các Client.2. trên máy ISA Server.

3. thư mục “Clients” (trong C:\Program Files\Microsoft ISA Server) sẽ được chia sẽ lên mạng (dùng Share name là Mspclnt). Sau khi cài đặt “Firewall Client Installation Share”. . Thư mục này chứa bộ source “ISA Firewall Client”. Nhấn Next cho đến khi hoàn tất. Trong cửa sổ “Custom Setup”. click vào “Firewall Client Installation Share” Æ chọn ”This feature will be install on local hard drive” (Lựa chọn này sẽ được cài đặt vào ổ đĩa cứng nội bộ) 4.

Trong tab “General”: check vào “Enable Microsoft Firewall Client…” (kích hoạt Firewall Client) 3. . biểu tượng của chương trình “Firewall Client” xuất hiện tại Tray bar. Có 2 để chỉ định ISA Server cho Client: ƒ ƒ Automatically detect ISA Server: click nút “Detect Now ” để chương trình tự động dò tìm ISA Server Manually select ISA Server: Người dùng tự nhập tên máy (hoặc địa chỉ IP) của ISA Server. Sau khi cài đặt thành công. 1. Nút “Test Server” để kiểm tra tính chính xác thông tin nhập. “ISA Firewall Client” ở trạng thái Disable – không thực hiện cấu hình thông số cho máy Client. Click phải trên biểu tượng “Firewall Client” Æ “Configure…” để mở trang cấu hình 2. Khởi đầu.exe từ bộ source.Cài đặt “ISA Firewall Client” trên các máy Client trong mạng bằng cách chạy Setup.

. Trên tab “Web Browser”: Check vào “Enable Web browser automatic configuaration” và click nút “Configure Now” để áp đặt các thông số cấu hình Proxy cho các trình duyệt Web có trên máy Client. Các thông số này sẽ được lấy từ ISA Server.4.

nhưng có thêm tiện ích sử dụng cache để lưu trữ data. trên máy ISA Server.Sử dụng Proxy để truy cấp web. Nó hoạt động như một gateway với khả năng bảo mật giữa mạng LAN và Internet. các máy Client có thể không cần khai báo Default Gateway hoặc DNS Server. . ¾ Để có bộ source “ISA Firewall Client” cài đặt cho các Client. người Quản trị phải nạp thêm thành phần “ISA Firewall Client” cho bộ phần mềm ISA Server 2004. Nó sẽ ngăn chặn việc người dùng net truy cập tới các địa chỉ "nhạy cảm". Chỉ cần khai báo IP address cùng Network ID với ISA Server là đủ Kết luận: ¾ Proxy có chức năng của một firewall (bức tường lửa).

BÀI 7: SAO LƯU VÀ PHỤC HỒI THÔNG TIN CẤU HÌNH ISA SERVER Mục tiêu: ¾ Biết cách sao lưu và phục hồi ISA 7. Vì vậy để bảo đảm hệ thống luôn hoạt động ổn định chúng ta cần phải tiến hành sao lưu (backup) các policy một cách đầy đủ để có thể phục hồi (restore) khi có sự cố xảy ra. Tiếp theo chúng ta đặt tên của tập tin sao lưu Æ chọn nơi lưu trữ và nhấn nút Backup Æ Một hộp thoại yêu cầu đặt password cho tập tin backup hiện ra Æ nhập password ÆOK. Chúng ta có thể sao lưu toàn bộ ISA Server hay chỉ một số các firewall policy nào đó. chọn server name (ISA) và nhấn vào Backup the ISA Server Configuration trên khung Tasks Panel 2.1. trong mỗi bộ phận lại yêu cầu những chính sách truy cập riêng làm cho số lượng policy rất nhiều và khó quản lí. Mở ISA Management Console. . 1. Sao lưu Đối với các hệ thống lớn với nhiều phòng ban và nhân viên.

Xác định tập tin sao lưu Æ chọn Restore nhập vào password Æ OK .2.7. Chọn Restore this ISA Server Configuration trên khung Tasks Pane 2. Phục hồi 1.

Lưu ý: Trong trường hợp chỉ sao lưu một firewall policy nào đó chúng ta cũng tiến hành tương tự với chức năng Export và Import Firewall Policy trên khung Task Panel. Tổng kết: ¾ Để bảo đảm hệ thống luôn hoạt động ổn định chúng ta cần phải tiến hành sao lưu (backup) các policy một cách đầy đủ để có thể phục hồi (restore) khi có sự cố xảy ra. . Chúng ta có thể sao lưu toàn bộ ISA Server hay chỉ một số các firewall policy nào đó.

Winroute 3. NAT NAT (Network Address Translation) là một dịch vụ có sẵn trong Windows Server.100. Khi đã có Internet thì vấn đề còn lại là sẽ chia sẻ kết nối này cho toàn bộ hoặc một phần hệ thống sử dụng chung Internet này.1. .168. địa chỉ IP được chia làm 2 loại. nhưng địa chỉ đó thì trên thế giới chắc có khoảng vài chục ngàn. Frame Relay… và những ứng dụng trên các thuê bao WAN ngày càng được sử dụng nhiều như Frame Relay với công nghệ VPN MPLS. Trước hết. NAT Triển khai VPN site – site truyền thông bảo mật nhiều site của doanh nghiệp Xây dựng hệ thống xác thực tập trung RADIUS Xử lý các sự cố kết nối VPN. Hiện nay. Việc chia sẻ Internet có thể thực hiện bằng các dịch vụ có sẵn trong Windows hoặc sử dụng phần mềm của hãng thứ ba. Theo quy ước thì các địa chỉ Private không được phép xuất hiện trên Internet bởi vì khi một Server chẳng hạn như Mail Yahoo reply thông tin yêu cầu thì địa chỉ đích đến xuất phát từ Mail Yahoo sẽ là địa chỉ mạng nội bộ ví dụ như là 192. một dùng cho địa chỉ trên Internet là địa chỉ Public. ICS 2. Khi Mail Yahoo reply thông tin yêu cầu thì sẽ đến địa chỉ Public đó. ADSL với các dịch vụ MegaWAN…. và tại thiết bị sẽ đối chiếu lại địa chỉ Public đó do máy tính nào yêu cầu và sẽ gửi lại tới máy tính đó hoàn tất quá trình chuyển tin. nên dữ liệu sẽ không chính xác. một loại dùng trong mạng LAN được gọi là Private.PHẦN II: TRIỂN KHAI MULTI VPN Mục tiêu: ¾ ¾ ¾ ¾ ¾ Hiểu biết các phương thức kết nối Internet cho mạng doanh nghiệp Cấu hình chia sẻ truy xuất Interner với Proxy. RADIUS Phương thức kết nối WAN – Internet. các kết nối ra ngoài Internet đa phần đều sử dụng dịch vụ WAN là ADSL. mục đích của NAT là cho phép các máy “mượn” địa chỉ của máy trung gian để truy xuất qua máy mạng khác. Trong những năm đầu sử dụng Internet còn có công nghệ Dial-up. Sử dụng NAT còn có ưu điểm khác là các máy ở trong mạng LAN có thể truy xuất Internet nhưng các máy tính ở Internet rất khó có thể truy xuất mạng LAN nên tạo được cơ chế an toàn. Sử dụng dịch vụ ICS (Internet Connecting Sharing) của Windows Sử dụng dịch vụ NAT trong Windows Server Sử dụng phần mềm như Winroute. Bên cạnh ADSL còn có những kiểu thuê bao khác như Leased Line. Dưới đây là một số cách thức thực hiện: • • • 1.địa chỉ đó là duy nhất tại thời điểm truy cập. Thông thường NAT thường được sử dụng để chia sẻ Internet cho toàn bộ mạng LAN bên trong. Giả sử trường hợp sử dụng NAT để chia sẻ Internet thì đầu tiên máy tính sẽ mượn địa chỉ Public của thiết bị hoặc máy tính để ra Internet .

Các cấu hình khác (nếu cần thiết). Một kết nối với Internet và một kết nối với LAN. 1. Click chuột phải và chọn Enable dịch vụ. 3.Cấu hình NAT bao gồm các bước sau: • • • Kích hoạt dịch vụ Routing and Remote Access Chọn lựa Card mạng kết nối với Internet (hoặc mạng muốn tới). chọn NAT vì chỉ cần chia sẻ kết nối Internet. Kích hoạt dịch vụ Routing and Remote Access bằng cách vào Administrative Tools --Routing and Remote Access. . 2. Chọn dịch vụ NAT nếu chỉ thực hiện kết nối với Internet đơn thuần hoặc có thể chọn Custom Configure. máy tính sử dụng NAT cần có 2 card mạng. Ở đây.

• Chọn kết nối card kết nối với Internet. . • Ấn Next để hoàn tất việc kết nối (chú ý phải chọn đúng card kết nối Internet thì mới truy xuất được Internet).

Do nhu cầu công việc. bằng cách cấu hình Port Forwarding. Ghi chú: NAT vẫn cho phép máy tính truy xuất một Server ở bên trong mạng nội bộ. Cách thực hiện tốt nhất là kết hợp với DHCP để cấp các dịch vụ này. • Cung cấp phương thức xác thực tính toàn vẹn dữ liệu bằng thuật toán băm (Hash key) đảm bảo dữ liệu không thay đổi so với ban đầu. VPN (Virtual Private Network).một môi trường không an toàn và không thuận tiện cho việc trao đổi các thông tin. mỗi công ty đều có các chi nhánh. mạng VPN (Virtual Private Network) ra đời nhằm giải quyết các vấn đề: • Trao đổi và truyền tải các thông tin an toàn giữa các chi nhánh bằng phương thức tạo ra một kênh truyền riêng biệt giữa các chi nhánh được gọi là Tunnel. Ghi chú: ICS là dịch vụ chia sẻ có sẵn trên Windows tuy nhiên nó chỉ thích hợp với việc chia sẻ kết nối ở khoảng 10 – 15 PC và không có nhiều tính năng như NAT nên các bạn có thể tham khảo thêm về dịch vụ này. VPN thường có các dạng sau: • Remote Access VPN: được sử dụng cho phép người dùng ở nhà có thể kết nối tới công ty để làm việc đồng thời đảm bảo được thông tin truyền tải trên mạng là ít bị mất mát.Áp dụng: để sử dụng dịch vụ NAT một cách tốt nhất cần chú ý bổ sung thêm các thông số cho các má Clients như Default Gateway và DNS. Do đó. • Cung cấp hình thức mã hóa dữ liệu trước khi truyền và phía bên nhận sẽ giải mã để sử dụng. các đối tác… và để đảm bảo các thông tin truyền tải một cách hiệu quả và an toàn trên môi trường Internet . Xem lại phần DHCP đã học ở phần trên. .

LAN 9 Một VPN Server cung cấp các dịch vụ chứng thực người sử dụng đồng thời cung cấp một địa chỉ IP để hoạt động. chúng ta chỉ sử dụng dạng Remote Access VPN và Site – to – Site VPN. mở tính năng VPN có trong dịch vụ Routing and Remote Access Start --.• Site – to – Site VPN: được sử dụng để kết nối 2 chi nhánh. • • • Trên máy Server. Các bước cài đặt kết nối VPN trên máy người sử dụng. đảm bảo dữ liệu truyền giữa các VPN là an toàn. 9 Người sử dụng phải được phép sử dụng dịch vụ VPN quay số trong Active Directory Users and Computers.Routing and Remote Access Enable tính năng Routing and Remote Access (nếu chưa kích hoạt).Administrative Tools --. Wireless.Programs --. • User – to – User VPN. 1. Trong chương trình học. kết nối với các partner. Chọn Custom Configuration . Phương thức (Protocol) sử dụng để truyền tải VPN thường là: • • • PPTP L2TP IPSec Các điều kiện để có thể thực hiện được kết nối VPN đó là: 9 Một hệ thống mạng public như Internet.

• Chọn tính năng VPN • Ấn Finish để hoàn tất. .

Cấu hình chứng thực User trên VPN Trong cửa sổ Routing and Remote Access – chọn Properties của kết nối mới cài Chọn Tab Security • đặt. • .2.

• Chọn mục IP để thiết lập địa chỉ IP cho người dùng.• Chọn mục Authentication provider và Accounting provider Authentication (tức là chứng thực bằng tài khoản Users có trong AD). là Windows .

3. . • Tạo User và cho phép Users kết nối với VPN Serer Tạo User trên Active Directory. trong trường hợp này là user vpn • Vào Properties của User chỉnh lại Remote Access Permission (Dial up or VPN) là Allow.

Tạo thêm một kết nối mới cho máy Client.4. • Trên máy Client tạo kết nối VPN. . • Chọn dạng kết nối là VPN.

• Hoàn tất kết nối và đưa ra ngoài Desktop. .• Gõ tên hoặc địa chỉ IP của máy VPN Server.

Thử kết nối với VPN bằng cách nhập user và password vào kết nối. Cấu hình VPN hỗ trợ tính năng xác thực bằng RADIUS. Xem chi thiết thông tin cấu hình Port Forwarding trên các tài liệu hướng dẫn kèm theo Modem/Router ADSL. Chú ý: khi thực hiện kết nối bằng hình thức PPTP này trên thực tế. Modem/Router ADSL phải mở port 1723 để có thể kết nối được. .5.

1. Cấu hình VPN Server với tính năng xác thực bằng RADIUS: (VPN Servr – RADIUS Clients) • Cấu hình VPN Server tương tự như của PPTP chỉ khác biệt là khai báo sử dụng phương thức Authentiacation provider và Accounting provider là RADIUS (xem hình).Các bước cấu hình VPN + RADIUS: • • • Cấu hình VPN Server + RADIUS Client Cấu hình RADIUS Server trên Domain Controller. . Kiểm tra lại kết nối. • Tiếp theo chọn Configure để chỉ VPN Server.

Add Windows Components --.Setting --.Internet Authentication Services (IAS) . 2.Network Services --.Control Pannel --Add or Remove Program --.Chọn phần Configure và bổ sung Server RADIUS vào (thông thường RADIUS Server được cài ngay trên AD). Bằng cách vào Start --. Cài đặt dịch vụ chứng thực Internet Authentication Service trên Domain Controller: • Trên máy Domain Controller cài đặt thêm dịch vụ Internet Authentication Service để hỗ trợ chứng thực RADIUS.

. Vào IAS vừa cài đặt.• Cấu hình RADIUS Server. tạo và đăng ký VPN Server với Active Directory.

• Chỉ định tên của VPN Server và địa chỉ IP của máy tính. . • Chọn khóa key cần kết nối với RADIUS Server.

.• Đăng ký dịch vụ với Active Directory. 3. Tạo Users có quyền hạn kết nối VPN hỗ trợ RADIUS. • Tạo User trên Active Directory cần chú ý: ngoài việc cho phép sử dụng VPN còn phải bổ sung User vào nhóm RAS and IAS Server để được chứng thực.

. 9 Cung cấp hình thức mã hóa dữ liệu trước khi truyền và phía bên nhận sẽ giải mã để sử dụng. Frame Relay… và những ứng dụng trên các thuê bao WAN ngày càng được sử dụng nhiều như Frame Relay với công nghệ VPN MPLS. ADSL với các dịch vụ MegaWAN….Thực hiện cài đặt quay số tương tự như bài tập trên. các kết nối ra ngoài Internet đa phần đều sử dụng dịch vụ WAN là ADSL. ¾ VPN (Virtual Private Network) 9 Trao đổi và truyền tải các thông tin an toàn giữa các chi nhánh bằng phương thức tạo ra một kênh truyền riêng biệt giữa các chi nhánh được gọi là Tunnel. 9 Hiện nay. Tổng kết: ¾ Phương thức kết nối WAN – Internet. Bên cạnh ADSL còn có những kiểu thuê bao khác như Leased Line. ¾ Chia sẻ Internet có thể thực hiện bằng các dịch vụ có sẵn trong Windows hoặc sử dụng phần mềm của hãng thứ ba như: 9 9 9 Sử dụng dịch vụ ICS (Internet Connecting Sharing) của Windows Sử dụng dịch vụ NAT trong Windows Server Sử dụng phần mềm như Winroute.

LAN ¾ Các điều kiện để có thể thực hiện được kết nối VPN là: 9 Một VPN Server cung cấp các dịch vụ chứng thực người sử dụng đồng thời cung cấp một địa chỉ IP để hoạt động. 9 Remote Access VPN: được sử dụng cho phép người dùng ở nhà có thể kết nối tới công ty để làm việc đồng thời đảm bảo được thông tin truyền tải trên mạng là ít bị mất mát.9 Cung cấp phương thức xác thực tính toàn vẹn dữ liệu bằng thuật toán băm (Hash key) đảm bảo dữ liệu không thay đổi so với ban đầu. 9 Người sử dụng phải được phép sử dụng dịch vụ VPN quay số trong Active Directory Users and Computers. ¾ Phương thức (Protocol) sử dụng để truyền tải VPN thường là: • • • 9 PPTP L2TP IPSec Một hệ thống mạng public như Internet. . Wireless.

You're Reading a Free Preview

Tải về
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->